次版本的延迟可能需要更长的时间，通常为 45-90 天。 提升到 stable 频道的版本同时提升到 eus 频道。eus 频道的主要目的是，为了方便执行 EUS 到 EUS 更新的集群。 stable 频 频道安全或大于 道安全或大于 fast 频 频道中的一个 道中的一个发 发行版本 行版本吗 吗？ ？ 如果在 fast 频道中为发行版本发现了回归问题，它将被解析为与 stable 频道中发布的回归问题 第 第 相同的扩展。 fast 和 stable 频道中发行版本的唯一区别在于，一个发行版本仅会在出现在 fast 频道一段时间 后才会出现在 stable 频道中，这样做可以有更长的时间来发行在更新中可能存在的风险。 在这个延迟后，fast 频道中可用的发行版本始终在 stable 频道中可用。 如果一个更新被支持但不推荐使用意味着什么？ 如果一个更新被支持但不推荐使用意味着什么？ 红帽会持续评估来自多 确定了问题，用户可能不再建议更新路径。但是，即使不推荐更新路径，如果客户执行了更新， 仍然被支持。 红帽不会阻止用户升级到特定版本。红帽可能会声明条件更新风险，这些风险可能不适用于特定 集群。 声明的风险提供有关受支持更新的更多上下文。集群管理员仍可接受该特定目标版本的风险 和更新。虽然在条件风险上下文中不推荐使用这个更新。 如果特定版本的更新不再被推荐意味着什么？ 如果特定版本的更新不再被推荐意味着什么？ 如果因为回

优先级类 2.9.1.2. Pod 优先级名称 2.9.2. 了解 pod 抢占 2.9.2.1. 非抢占优先级类（技术预览） 2.9.2.2. Pod 抢占和其他调度程序设置 2.9.2.3. 安全终止被抢占的 pod 2.9.3. 配置优先级和抢占 2.10. 使用节点选择器将 POD 放置到特定节点 2.10.1. 使用节点选择器控制 pod 放置 第 第 3 章 章 控制 控制节 手动为节点分配资源 5.11. 为集群中的节点分配特定 CPU 5.11.1. 为节点保留 CPU 5.12. 为 KUBELET 启用 TLS 安全配置集 5.12.1. 了解 TLS 安全配置集 5.12.2. 为 kubelet 配置 TLS 安全配置集 5.13. 机器配置守护进程指标 5.13.1. 机器配置守护进程指标 5.14. 创建基础架构节点 5.14.1. OpenShift 用于从客户端发起端口转发的协议 6.9. 在容器中使用 SYSCTL 6.9.1. 关于 sysctl 6.9.1.1. 命名空间和节点级 sysctl 6.9.1.2. 安全与不安全 sysctl 6.9.2. 为 pod 设置 sysctl 6.9.3. 启用不安全 sysctl 第 第 7 章 章 操作集群 操作集群 7.1. 查看 OPENSHIFT CONTAINER PLATFORM 集群中的系统事件信息

pod 优先级 2.9.1.1. Pod 优先级类 2.9.1.2. Pod 优先级名称 2.9.2. 了解 pod 抢占 2.9.2.1. Pod 抢占和其他调度程序设置 2.9.2.2. 安全终止被抢占的 pod 2.9.3. 配置优先级和抢占 2.10. 使用节点选择器将 POD 放置到特定节点 2.10.1. 使用节点选择器控制 pod 放置 第 第 3 章 章 控制 控制节 用于从客户端发起端口转发的协议 6.9. 在容器中使用 SYSCTL 6.9.1. 关于 sysctl 6.9.1.1. 命名空间和节点级 sysctl 6.9.1.2. 安全与不安全 sysctl 6.9.2. 为 pod 设置 sysctl 6.9.3. 启用不安全 sysctl 第 第 7 章 章 操作集群 操作集群 7.1. 查看 OPENSHIFT CONTAINER PLATFORM 集群中的系统事件信息 1.1.4. 镜像流限值 7.3.1.1.5. 持久性卷声明（PVC）限制 7.3.2. 创建限制范围 7.3.3. 查看限制 7.3.4. 删除限制范围 7.4. 配置集群内存以满足容器内存和风险要求 7.4.1. 了解管理应用程序内存 7.4.1.1. 管理应用程序内存策略 7.4.2. 了解 OpenShift Container Platform 的 OpenJDK 设置 7.4

14 发行注记 Red Hat OpenShift Container Platform 为软件开发人员和 IT 机构提供了一个混合云应用平台。使用这个 平台可以在配置和管理成本最小化的情况下，利用安全、可扩展的资源部署新的或已有的应用程序。 OpenShift Container Platform 支持大量编程语言和开发平台，如 Java、JavaScript、Python、Ruby 和 PHP。 基于 Red Hat Enterprise Linux（RHEL）和 Kubernetes，为当今的企业级 应用程序提供了一个更加安全、可扩展的多租户操作系统，同时提供了集成的应用程序运行时及程序库。 OpenShift Container Platform 可以满足用户对安全性、隐私、合规性及监管的要求。 1.1. 关于此版本 OpenShift Container Platform (RHSA bootstrap 过 过程中 程中启 启用 用 S3 存 存储 储桶 桶 在这个版本中，您可以选择在 AWS 上的集群 bootstrap 过程中自动删除 S3 存储桶。如果您有一个用于 防止删除 S3 存储桶的安全策略时，此选项很有用。 1.3.2.3. 使用 使用 NAT 网关在 网关在 Microsoft Azure 上安装集群（技 上安装集群（技术预览 术预览） ） 在 OpenShift Container

Container Platform 提供 oc tag 命令，该命令类似于 docker tag 命令，但是在镜像流上运 行，而非直接在镜像上运行。 1.6. 镜像 ID 镜像 ID 是 SHA（安全哈希算法）代码，可用于拉取（pull）镜像。SHA 镜像 ID 不能更改。特定 SHA 标 识符会始终引用完全相同的容器镜像内容。例如： 1.7. 容器 OpenShift Container Platform 您可使用细粒度访问控制来共享镜像，快速向整个团队分发镜像。 如果源更改，imagestreamtag 仍将指向已知良好的镜像版本，以确保您的应用程序不会意外中 断。 您可以通过镜像流对象的权限配置安全性，以了解谁可以查看和使用镜像。 在集群级别上缺少读取或列出镜像权限的用户仍可使用镜像流来检索项目中标记的镜像。 您可以管理镜像流，将镜像流 与 Kubernetes 资源一起使用，并触发镜像流更新。 Platform 中使用，在创建容器镜像时都需要遵循以下指导信 息。 重复利用 重复利用镜 镜像 像 您的镜像尽可能使用 FROM 语句基于适当的上游镜像。这可确保，在上游镜像更新时您的镜像也可轻松 从中获取安全修复，而不必再直接更新依赖项。 此外，请使用 FROM 指令中的标签（如 rhel:rhel7），方便用户准确了解您的镜像基于哪个版本的镜像。 使用除 latest 以外的标签可确保您的镜像不受 latest

镜像拉取（PULL）策略 5.3.1. 镜像拉取（pull）策略概述 5.4. 使用镜像 PULL SECRET 5.4.1. 允许 pod 在项目间引用镜像 5.4.2. 允许 Pod 引用其他安全 registry 中的镜像 5.4.2.1. 通过委托身份验证从私有 registry 拉取（pull） 5.4.3. 更新全局集群 pull secret 第 第 6 章 章 管理 管理镜 4. 更新镜像流标签 6.7.5. 删除镜像流标签 6.7.6. 配置定期导入镜像流标签 6.8. 从私有容器镜像仓库（REGISTRY）导入镜像和镜像流 6.8.1. 允许 Pod 引用其他安全 registry 中的镜像 第 第 7 章 章 KUBERNETES 资 资源使用 源使用镜 镜像流 像流 7.1. 使用 KUBERNETES 资源启用镜像流 第 第 8 章 章 在 在镜 资源 源 9.1. 镜像控制器配置参数 9.2. 配置镜像 REGISTRY 设置 9.2.1. 添加特定的 registry 9.2.2. 阻塞特定的 registry 9.2.3. 允许不安全的 registry 9.2.4. 添加允许镜像短名称的 registry 9.2.5. 为镜像 registry 访问配置额外的信任存储 9.2.6. 配置镜像 registry 存储库镜像

OpenShift Container Platform 架构。 访问 访问策略 策略 组角色，用于指明集群内的用户、应用程序和实体如何与另一个角色进行交互。访问策略会增加集群 安全性。 准入插件 准入插件 准入插件强制执行安全策略、资源限制或配置要求。 身份 身份验证 验证 为了控制对 OpenShift Container Platform 集群的访问，集群管理员可以配置用户身份验证，并确保 Operator 的 Quay.io 容器 registry。 复制控制器 复制控制器 指示一次需要运行多少个 pod 副本资产。 基于角色的 基于角色的访问 访问控制 控制 (RBAC) 重要的安全控制，以确保集群用户和工作负载只能访问执行其角色所需的资源。 route 第 第 1 章 章 架 架构 构概述 概述 5 路由用于公开服务，以允许从 OpenShift Container Platform OpenShift Container Platform 的功能。在对资源请求进行身份验证和授权 后，准入插件会截获对 master API 的资源请求以验证资源请求，并确保扩展策略得到遵循。准入插件用 于强制执行安全策略、资源限制或配置要求。 OpenShift Container Platform 4.10 架 架构 构 8 第 2 章 OPENSHIFT CONTAINER PLATFORM 架构 2

安装期间可以修改控制基础 RHCOS 操作系统的 Kubernetes 和 Ignition 配置文件。但是， 没有可用的验证机制来确认您对这些对象所做修改是适当的。如果修改了这些对象，集群 可能会无法运行。由于存在这种风险，修改 Kubernetes 和 Ignition 配置文件不受支持，除 非您遵循记录的流程或在红帽支持指示下操作。 安装配置文件转换为 Kubernetes 清单，然后清单嵌套到 Ignition Enterprise Linux CoreOS (RHCOS) 提供无线更新 (over-the air update)。它提供了一个组件 Operator 图，其中包含各个顶点及连接它们的边。图中的边显示可以安全更新的版本，顶点是更新有效负载，用于 指定托管集群组件的预期状态。 集群中的 Cluster Version Operator (CVO) 会检查 OpenShift Container Platform Enterprise Linux CoreOS (RHCOS) 提供无线更新 (over-the air update)。它提供了一个组件 Operator 图，其中包含各个顶点及连接它们的边。图中的边显示可以安全更新的版本，顶点是更新有效负载，用于 指定托管集群组件的预期状态。 集群中的 Cluster Version Operator (CVO) 会检查 OpenShift Container Platform

安装期间可以修改控制基础 RHCOS 操作系统的 Kubernetes 和 Ignition 配置文件。但是， 没有可用的验证机制来确认您对这些对象所做修改是适当的。如果修改了这些对象，集群 可能会无法运行。由于存在这种风险，修改 Kubernetes 和 Ignition 配置文件不受支持，除 非您遵循记录的流程或在红帽支持指示下操作。 安装配置文件转换为 Kubernetes 清单，然后清单嵌套到 Ignition CoreOS（RHCOS））提供了无线更新（over-the air update）功能。它提 供了一个图表，其中包含组件 Operator 的顶点（vertices）和连接它们的 边（edges）。图中的边代表了 您可以安全更新到的版本。顶点是更新的有效负载，用于指定受管集群组件的预期状态。 集群中的 Cluster Version Operator (CVO) 会检查 OpenShift Container Platform CoreOS（RHCOS））提供了无线更新（over-the air update）功能。它提 供了一个图表，其中包含组件 Operator 的顶点（vertices）和连接它们的 边（edges）。图中的边代表了 您可以安全更新到的版本。顶点是更新的有效负载，用于指定受管集群组件的预期状态。 集群中的 Cluster Version Operator (CVO) 会检查 OpenShift Container Platform

Container Platform 提供 oc tag 命令，该命令类似于 docker tag 命令，但是在镜像流上运 行，而非直接在镜像上运行。 3.6. 镜像 ID 镜像 ID 是 SHA（安全哈希算法）代码，可用于拉取（pull）镜像。SHA 镜像 ID 不能更改。特定 SHA 标 识符会始终引用完全相同的容器镜像内容。例如： docker.io/openshift/jenkins-2 您可使用细粒度访问控制来共享镜像，快速向整个团队分发镜像。 如果源更改，imagestreamtag 仍将指向已知良好的镜像版本，以确保您的应用程序不会意外中 断。 您可通过设置镜像流的访问权限来配置安全性，以控制谁可以查看和使用镜像。 在集群级别上缺少读取或列出镜像权限的用户仍可使用镜像流来检索项目中标记的镜像。 3.7.1. 镜像流标签（Imagestreamtags） 镜像流标签是指向镜 中使用，在创建容器镜像时都需要遵循以下指导信 息。 重复利用 重复利用镜 镜像 像 建议您尽可能使用 FROM 语句将您的镜像基于适用的上游镜像。这可确保，在上游镜像更新时您的镜像 也可轻松从中获取安全修复，而不必再直接更新依赖项。 此外，请使用 FROM 指令中的标签（如 rhel:rhel7），方便用户准确了解您的镜像基于哪个版本的镜像。 使用除 latest 以外的标签可确保您的镜像不受 latest